Tutoriel 📝 Résoudre les problèmes liés à DirectAccess sous Windows Server

[Sylvain*]

Résoudre les problèmes liés à DirectAccess sous Windows Server

Introduction

DirectAccess est une solution de connectivité à distance intégrée à Windows Server, permettant aux postes clients de se connecter automatiquement au réseau d’entreprise sans VPN classique. Lorsqu’elle ne fonctionne pas, cela est généralement dû à une mauvaise configuration réseau, une incompatibilité de certificat, ou un problème de connectivité IPv6. Ce guide propose des approches concrètes pour diagnostiquer et corriger les défaillances liées à DirectAccess.

---

Prérequis

• Connaissances en Windows Server (2012/2016/2019/2022)

• Maîtrise des notions de certificats, DNS, IPv6 et GPO

• Accès administrateur sur les serveurs et les clients DirectAccess

---

Différentes Approches

• Approche #1 : CMD pour tester la connectivité réseau et l'état de DA

• Approche #2 : PowerShell pour vérifier la configuration de DirectAccess

• Approche #3 : Script .ps1 pour analyser et consigner l’état de DirectAccess

---

Niveau de difficulté

• Approche #1 : Facile

• Approche #2 : Intermédiaire

• Approche #3 : Avancé

---

Les Avantages

• Approche #1 : Diagnostic réseau rapide

• Approche #2 : Vérification précise des paramètres de configuration

• Approche #3 : Journalisation exploitable pour les équipes support

---

Les Inconvénients

• Approche #1 : Ne montre pas les erreurs de configuration

• Approche #2 : Demande l’installation du rôle Remote Access

• Approche #3 : Requiert un environnement bien configuré pour être pertinent

---

Approche #1

Ouvrir CMD sur le client DirectAccess

Vérifier la connectivité aux serveurs internes

ping nom_serveur_interne

Tester l’état de la connectivité IPHTTPS

netsh interface httpstunnel show interface

Lancer un test NCSI (Network Connectivity Status Indicator)

nslookup www.msftconnecttest.com

---

Approche #2

Lancer PowerShell en tant qu’administrateur sur le serveur DA

Vérifier l’état de configuration du service DirectAccess

Get-RemoteAccess

Afficher les clients connectés

Get-RemoteAccessConnectionStatistics

Vérifier l’état du tunnel IPHTTPS

Get-DAConnectionStatus

---

Approche #3

Créer un fichier .ps1 de supervision DirectAccess

Exemple de script

$log = "C:\Logs\DA_Status_$(Get-Date -Format yyyyMMdd_HHmm).log"
"=== État DirectAccess ===" | Out-File $log
Get-RemoteAccess | Out-File -Append $log
Get-RemoteAccessConnectionStatistics | Out-File -Append $log
Get-DAConnectionStatus | Out-File -Append $log
Start-Process notepad.exe $log

Lancer le script sur le serveur DA

Archiver les logs dans un répertoire sécurisé

---

Astuce

Utilisez une GPO pour forcer les clients à enregistrer automatiquement leur état de connectivité DA dans l’observateur d’événements.

---

Mise en garde

DirectAccess repose fortement sur l’IPv6. Assurez-vous que les règles de pare-feu n’interdisent pas les protocoles Teredo, IPHTTPS ou 6to4 nécessaires au fonctionnement.

---

Conseil

Envisagez de migrer vers Always On VPN si vous utilisez une version récente de Windows 10 ou 11 Enterprise, car il offre plus de flexibilité et un meilleur support moderne.

---

Solution alternative

Si DirectAccess reste instable ou incompatible avec votre architecture actuelle, envisagez ces outils :

• Microsoft Always On VPN

• Fortinet VPN (FortiClient)

• Palo Alto GlobalProtect

---

Références

• Support Microsoft

• Microsoft Learn

• Recherche Google

• Recherche Github

---

Conclusion

DirectAccess est une solution robuste pour les connexions sans client, mais sensible aux erreurs de configuration réseau, certificats ou GPO. En combinant des outils comme CMD, PowerShell et des scripts de diagnostic, vous pouvez identifier rapidement les sources de blocage. Une révision régulière des certificats, des routes IPv6 et des journaux garantit un fonctionnement optimal. Pour les nouveaux déploiements, une transition vers Always On VPN est à envisager.